El quishing va en aumento: cómo prevenir el phishing con códigos QR

Getty Images/iStockphoto

Según los investigadores de amenazas, los ciberdelincuentes están utilizando ataques quishing basados ​​en correo electrónico para atacar a los usuarios. Al menos una campaña de engaño parece ser a gran escala, de larga duración y dinámica, basada en la cadencia de los ataques y las variaciones en los señuelos y dominios que utilizan los mensajes.

El quishing, también conocido como phishing de códigos QR, consiste en engañar a alguien para que escanee un código QR mediante un teléfono móvil. Luego, el código QR lleva al usuario a un sitio web fraudulento que podría descargar malware o solicitar información confidencial.

Patrick Schläpfer, analista de malware de HP, dijo que su equipo ha observado actividad de quishing basada en correo electrónico casi a diario durante meses. Los investigadores han estado rastreando una campaña particular de phishing con códigos QR que llamó su atención por primera vez cuando notaron una serie de correos electrónicos sospechosos con documentos de Word similares adjuntos.

Tras una inspección más cercana, encontraron que cada documento contenía texto en chino y un código QR. El mensaje parecía provenir del Ministerio de Finanzas de China (aunque en realidad provenía de actores amenazantes) y decía a los destinatarios que eran elegibles para recibir un nuevo subsidio financiado por el gobierno. Para recibir sus pagos, según el documento, los usuarios deben usar sus dispositivos móviles para escanear el código QR, lo que los redireccionará a un formulario de solicitud donde podrán enviar su información personal y financiera.

En otro ataque similar descubierto por HP, los usuarios recibieron un correo electrónico que parecía provenir de un servicio de entrega de paquetes, solicitando el pago mediante un código QR.

El código QR, según Schläpfer, es una forma de obligar a un usuario a pasar de una computadora de escritorio o portátil a un dispositivo móvil, que podría tener protecciones antiphishing más débiles. Y, si bien la campaña que descubrieron los investigadores de HP tenía como objetivo solicitar información financiera de las personas, los actores de amenazas también podrían utilizar este tipo de campañas para distribuir malware móvil y robar credenciales de inicio de sesión empresariales.

"Es muy probable que el phishing QR se esté produciendo a una escala más amplia utilizando una variedad de métodos", afirmó Schläpfer.

El proveedor de seguridad de correo electrónico Abnormal Security identificó previamente una campaña de quishing que utilizaba un código QR para pasar las puertas de enlace de seguridad del correo electrónico, que comúnmente escanean texto en busca de URL. El ataque parecía ser un intento de robar las credenciales de inicio de sesión de Microsoft de los usuarios, informó el proveedor.

Quishing es un tipo de ataque de phishing en el que un actor de amenazas utiliza un código QR para manipular a los usuarios, generalmente redirigiéndolos a un sitio web que descarga malware o solicita su información confidencial.

Un código QR, o código de respuesta rápida, es un código de barras cuadrado que pueden leer las cámaras de dispositivos móviles compatibles. Cuando un usuario escanea un código QR, a menudo abre una página web, aunque también podría activar una llamada telefónica, un mensaje de texto o un pago digital.

La evidencia anecdótica sugiere que los ataques de quishing han aumentado desde el comienzo de la pandemia de COVID-19, cuando un número creciente de organizaciones legítimas comenzaron a utilizar códigos QR para permitir transacciones de bajo contacto. Algunos restaurantes, por ejemplo, vinculan códigos QR a menús en línea, en lugar de proporcionar copias impresas a los comensales. Las billeteras digitales utilizan códigos QR para facilitar los pagos sin contacto. A medida que los usuarios se han acostumbrado cada vez más a interactuar con códigos QR en la vida diaria, las oportunidades de engaño han aumentado.

Por ejemplo, según el Better Business Bureau (BBB), una estafa ahora común consiste en pegar códigos QR fraudulentos en los parquímetros para engañar a los conductores para que compartan sus credenciales financieras cuando intentan pagar el estacionamiento. BBB ha advertido a los consumidores que podrían encontrar estafas con códigos QR en correos electrónicos, mensajes de texto, carteles, correo directo e incluso en persona por parte de delincuentes que se hacen pasar por trabajadores de servicios públicos o empleados gubernamentales.

Hasta la fecha, muchos ataques de quishing se han dirigido a consumidores individuales, pero las empresas y sus empleados también son vulnerables. En particular, las campañas de phishing QR basadas en correo electrónico, como las que descubrieron los investigadores de HP y Abnormal Security, podrían apuntar a cuentas comerciales para el robo de credenciales o la distribución de malware.

Como ocurre con cualquier tipo de phishing, la mejor defensa contra los ataques de quishing es una base de usuarios formados. Las empresas deben brindar capacitación en concientización sobre seguridad que incluya las siguientes mejores prácticas:

Las organizaciones también deberían considerar controles de seguridad adicionales que puedan ayudar a combatir múltiples tipos de ataques de phishing y mitigar el daño si uno tiene éxito. Estos incluyen lo siguiente: